Informatiebeveiligingsbeleid van JJC

Informatiebeveiliging is voor JJC van cruciaal belang om de rechten en privacy van alle belanghebbenden te waarborgen. Ook zorgt het ervoor dat informatie op een adequate wijze beschermd wordt tegen allerlei bedreigingen. Daarom heeft JJC een informatiebeveiligingsbeleid opgesteld waarmee we voldoen aan alle relevante (privacy) wet- en regelgeving.
JJC ontwikkelt en beheert integrale, webbased softwareapplicaties. Hiermee ondersteunen we werkgevers, arbodiensten, bedrijfsartsen en adviseurs op het gebied van arbeid, vitaliteit en gezondheid Bij ons staan de klant en de kwaliteit van onze software en dienstverlening centraal.

Naleven van de wet- en regelgeving

Certificering

We zijn ISO 27001-gecertificeerd en
we beschikken over de NEN 7510-certificering. Daarmee voldoen wij aan de maximale eisen op het gebied van procesbeheersing en bescherming van medische- en persoonsgegevens.

Privacyreglement

In ons privacyreglement staat precies wie welke gegevens mag inzien, hoe lang ze bewaard worden en hoe we voorkomen dat onbevoegde
personen ze kunnen bekijken. U kunt hiervoor ook onze algemene voor- waarden raadplegen.

Interne borging

Om de kwaliteit van onze dienst- verlening continu te waarborgen, worden vakgerichte cursussen en opleidingen gevolgd over het naleven van de wet- en regelgeving.

Informatiebeveiliging

Inzake onze automatisering hebben we diverse maatregelen genomen, voor een optimale bescherming van de persoonsgegevens:

  • De ICT-omgeving van JJC is geplaatst in een veilige datacenter omgeving (ISO 27001 gecertificeerd)
  • De rechtstreekse toegang tot de database vanaf internet wordt afgeschermd door de toevoeging van een extra serverlaag en/of een zogenaamd Security Abstraction Layer (SAL).
  • De toegang tot de ICT-omgeving gaat via secure VPN tunnels
  • JJC maakt gebruik van SSL- certificaten ter beveiliging van websites, portals en applicaties. Hierdoor wordt afgedwongen dat gebruikers de functionaliteit alleen kunnen benaderen via ‘https’
  • JJC hanteert Role Based Access (gebruikers krijgen alleen toegang tot die data waar men toe geautoriseerd is op basis van functie).
  • De toegang tot de specifieke functionaliteit inhoudelijk wordt bepaald door het Privacy- reglement, wat onderdeel uitmaakt van het kwaliteitssysteem.
  • Systemen binnen de JJC ICT- omgevingen hebben uiteraard ook diverse koppelingen met applicaties of systemen van derden, die niet vanzelfsprekend binnen hetzelfde datacenter zijn opgesteld.
  • Bij het inrichten van koppelingen wordt standaard gewerkt met certificaten (SSL/PKI overheid certificaten) of wordt specifieke tooling ingezet (in plaats van FTP wordt bijvoorbeeld sFTP toegepast).

Audits

Jaarlijks vinden er voor server en netwerkbeheer verschillende audits plaats door externe partijen. Het betreft hier een audit op het Certificaat ISO 27001: 2013 en NEN 7510. Elke 2 jaar wordt aanvullend een zogenaamde securitycheck (door een professionele hacker) uitgevoerd, om te beoordelen of het portaal bestand is tegen mogelijk nieuwe risico’s.

Wilt u meer weten?

Voor meer informatie kunt u terecht bij uw vaste contactpersoon van JJC of op privacy@bisdoss

Document-ID
ISMS-4-23-3

Versie
3

Datum
23-09-2023